Plateforme
rust
Composant
rustfs
Corrigé dans
1.0.1
1.0.0-alpha.79
Une vulnérabilité de traversée de chemin a été découverte dans rustfs, affectant potentiellement la sécurité des systèmes l'utilisant. Cette faille permet à un attaquant d'accéder à des fichiers sensibles ou de modifier des données arbitraires. Les versions antérieures à 1.0.0-alpha.79 sont vulnérables. Une mise à jour vers la version corrigée est recommandée pour éliminer ce risque.
La vulnérabilité de traversée de chemin dans rustfs, localisée dans l'endpoint /rustfs/rpc/readfilestream, permet à un attaquant de contourner les contrôles d'accès et d'accéder à des fichiers situés en dehors du répertoire prévu. L'absence de validation adéquate du chemin d'accès dans crates/ecstore/src/disk/local.rs:1791 est la cause première de cette vulnérabilité. Un attaquant pourrait exploiter cette faille pour lire des fichiers de configuration, des clés privées ou d'autres données sensibles. Dans le pire des cas, il pourrait même écrire dans des fichiers critiques, compromettant l'intégrité du système. Cette vulnérabilité présente un risque élevé, car elle peut être exploitée à distance sans authentification.
La vulnérabilité CVE-2025-68705 a été publiée le 2026-01-07. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de la disponibilité potentielle de preuves de concept. Il est recommandé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter d'éventuelles mises à jour.
Systems utilizing rustfs for file storage or data access are at risk, particularly those with exposed RPC endpoints. Environments with legacy configurations or those lacking robust access controls are especially vulnerable. Shared hosting environments where multiple users share the same rustfs instance are also at increased risk.
• rust: Examine logs for requests to /rustfs/rpc/readfilestream containing path traversal sequences (e.g., ../).
• generic web: Use curl to test the endpoint with various path traversal payloads: curl 'http://<rustfsendpoint>/rustfs/rpc/readfile_stream?path=../../../../etc/passwd'
• generic web: Monitor access logs for unusual file access patterns originating from the /rustfs/rpc/readfilestream endpoint.
• generic web: Check for unexpected files appearing in the rustfs data directory.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
La solution la plus efficace consiste à mettre à jour rustfs vers la version 1.0.0-alpha.79 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en œuvre. Il est crucial de restreindre l'accès à l'endpoint /rustfs/rpc/readfilestream en utilisant un pare-feu ou un proxy inverse. Surveillez attentivement les journaux d'accès pour détecter des tentatives de traversée de chemin suspectes. Envisagez d'implémenter une validation stricte du chemin d'accès côté serveur, en utilisant une liste blanche de chemins autorisés. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en tentant d'accéder à des fichiers en dehors du répertoire prévu.
Actualice RustFS a la versión 1.0.0-alpha.79 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. La actualización se puede realizar mediante el sistema de gestión de paquetes de Rust, Cargo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68705 is a Path Traversal vulnerability in rustfs, allowing attackers to potentially read or write arbitrary files due to insufficient path validation in the /rustfs/rpc/readfilestream endpoint.
You are affected if you are using a version of rustfs prior to 1.0.0-alpha.79. Assess your environment to determine if you are using a vulnerable version.
Upgrade to rustfs version 1.0.0-alpha.79 or later to address the path validation issue. Consider implementing WAF rules as a temporary mitigation.
While no active exploitation has been publicly confirmed, the vulnerability's ease of exploitation and potential impact make it a high-priority concern.
Refer to the rustfs project's official communication channels and security advisories for the latest information regarding CVE-2025-68705.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Cargo.lock et nous te dirons instantanément si tu es affecté.